アカウント名:
パスワード:
>、Microsoft Edge 99%、
少しでもアヤシイファイルは全部「警告」扱いにするからだよ。Edge だと、そのあとユーザーの同意を上で実行可能にさせるから、実質ザル。
そんなこと言ったらマルウェア対策アプリだってザルじゃんユーザーが操作すれば実行できたり隔離したのを出したりできるんだからさフィッシングサイトだろうがアクセスしようと思えばできちゃうしね
タイトルは誇大広告じゃなくてマジですEdge/IEに搭載されているのは、最初全部誤検出して、ダウンロード・実行ユーザーがある程度増えてきてはじめて誤検出がなくなる人柱が必要なホワイトリスト形式の迷惑セキュリティソフトなんです
こういうのがフリーソフト文化を破壊するんだよね作者にウイルスだと表示されたのなんだのと冤罪メールばっかきて迷惑
『少しでもアヤシイファイルは全部「警告」扱いにする』のが問題なんだよ
自分でプログラム作れば分かるけど、EdgeやIEはexeなどの実行ファイルをこう扱う
・EVコードサイニング署名付き ⇒ デフォルトでスルー(ブラックリスト方式)・コードサイニング署名付き ⇒ デフォルトでブロック(その証明書の信頼スコアが高い場合のみデフォルトでスルー)・署名無し ⇒ デフォルトでブロック(多くのユーザーがダウンロードした実績があるexeとハッシュ値が一致する場合のみ許可)
つまり、自分で作ったexeファイルを公開したら、署名付けない限り問答無用で危険なアプリの可能性があるというセキュリティ警告が出る状態になるコードサイニング署名つけたところで、1~2年ごとの証明書更新で信頼スコアがリセットされるので証明書の更新からしばらくはセキュリティ警告が出る
コードのスキャンではなく、証明書のスキャンに依存している時点でセキュリティソフトとして失格だわそれで検出率99%とかアフォちゃうんか?誤検出率も書くべき(署名無しならある程度の人数が使わない限り100%誤検出なので、公開直後のexeファイルの誤検出率は100%です)
EV署名のない実行ファイルをデフォルトでブロックするのは普通の動作に見える。
当然知っていると思うけど、EVでないコード署名はプログラムの信用を担保しない。ただ改竄されていないことを証明するだけだ。例えば、フィッシングサイトが公開するマルウェアにEVでないコード署名がついていたところで、なんの保証にもならない。身元を証明したいのならEV署名は必要だ。
昔ながらの開発者として気に入らないのはわかるけど、これが不当に思えるのはちょっと時代遅れというしかない。
また、根本的な誤解として、SmartScreenはウイルススキャナではない。SmartScreenはドメインやURLの信頼性を評価するもので、フィッシングサイトなどを遮断するのが目的だ。その性能が高くて、特に新たに登場したフィッシングサイトへの対応がきわめて速いとされている。
SSL/TLSに使うX.509 証明書かなんかと勘違いしているように思える。
CA/Browser ForumのBaseline Requirementsではコードサイニング証明書にはVerification of Organizational Applicantsが必須だと書かれている。
11.Verification Practices から引用すると
・設立・存在を示す政府機関発行の文書(日本でいえば登記事項証明など)の存在、または連絡・信頼できる第三者機関の発行する文書の存在、または連絡(帝国データバンクやDUNSなど)・商号や屋号を管理する政府機関発行の文書の存在、または連絡・信頼できる第三者機関の発行する意見書・公共料金の請求書、銀行の明細書、クレジットカードの明細書、国税の書類、信頼できる第三者機関の発行する文書
のいずれかが必須。
実際の運用としては、大抵の認証局はEVでもEVでなくてもコードサイニング証明書は同じような審査をする(EVでなくてもコールバック確認や書類審査をする)のでなりすましリスクについては大きな違いがあるとはいえない)。EVの方が値段が高いので認証局の儲けが大きいという違うはあるね。
EVと非EVの大きな違いは、EVの方は個人事業主を含む個人だと取得できないことぐらいかな。でも、死ぬまで逃亡できない個人と、いくらでもペーパーカンパニー作り放題の法人で、後者の方が信頼できるというのは違うと思う。
民事の賠償責任や法人格としての刑事責任も法人は会社つぶせば逃れられるけど、個人の自己破産免責は簡単には認められない。
本当に検出率が高いのか疑問だ。怪しげな詐欺サイトが表示されたことはあるが、SmartScreenの赤い画面を見たことがない。
SmartScreenがアンチウイルスかどうかは考え方次第では? https://hebikuzure.wordpre [wordpress.com]
仮に「プログラムの信用を担保する」のなら、それで問題が起きた時は証明書を発行した機関や実行を許可したOSメーカーは責任とってくれるの?連帯保証人のハンコついたわけじゃないのに、信用を担保するなんてことはないでしょ。
インテルのHPから新しいグラフィックドライバをダウンロードすると、これに引っ掛かってイライラさせられる。
これは別にWindows Defenderに限らずNorton等でも起きる問題かと思います。しかもNortonの場合は隔離されるのでいちいち除外・復元する必要があったり。
# 自分でビルドしたexeですらブロックされたのでAC
Norton も新しいexeは原則誤検出ですねカスペルスキーはそういう挙動無いのでまともですよ
さっさとストアアプリに移行すればいいだけの話でしょ
特定の巨大営利企業が支配しているストアにアプリを預けるのは、古き良きフリーソフト文化とは相反する。
でも漫画村やウイルスやアドウェア入りのアプリを含めてフリーでオープンなのを支持したいというのが出てくるからなぁ。
特定の巨大営利企業が支配しているPC向けにアプリをリリースするのは、古き良きフリーソフト文化とは相反する。
ストアが嫌ならChocolateyとかで公開すれば?ブラウザを使わずにダウンロード・インストールできればブラウザのセキュリティ機能は無力なんだから
まだ、業務でお使いのPCでWindows7が高いシェアを保っているので、まだ移行できないです。あと2年耐えなくては...。
「ダウンロード及び実行の実績が少ないソフトウェアです」「ダウンロード及び実行の実績が少ないソフトウェアですが、署名はあります」って正直に書いてくれればいいのにな。
ていうかそんなやり方だと大量にダウンロードさせることに成功したマルウェアには警告でないっていう凶悪なオチ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ソースを見ろ -- ある4桁UID
99% の実態は (スコア:-1)
>、Microsoft Edge 99%、
少しでもアヤシイファイルは全部「警告」扱いにするからだよ。
Edge だと、そのあとユーザーの同意を上で実行可能にさせるから、実質ザル。
Re: (スコア:0)
そんなこと言ったらマルウェア対策アプリだってザルじゃん
ユーザーが操作すれば実行できたり隔離したのを出したりできるんだからさ
フィッシングサイトだろうがアクセスしようと思えばできちゃうしね
署名無し exe ファイルの誤検出率は、公開直後は 100% (スコア:0, 参考になる)
タイトルは誇大広告じゃなくてマジです
Edge/IEに搭載されているのは、最初全部誤検出して、ダウンロード・実行ユーザーがある程度増えてきてはじめて誤検出がなくなる人柱が必要なホワイトリスト形式の迷惑セキュリティソフトなんです
こういうのがフリーソフト文化を破壊するんだよね
作者にウイルスだと表示されたのなんだのと冤罪メールばっかきて迷惑
『少しでもアヤシイファイルは全部「警告」扱いにする』のが問題なんだよ
自分でプログラム作れば分かるけど、EdgeやIEはexeなどの実行ファイルをこう扱う
・EVコードサイニング署名付き ⇒ デフォルトでスルー(ブラックリスト方式)
・コードサイニング署名付き ⇒ デフォルトでブロック(その証明書の信頼スコアが高い場合のみデフォルトでスルー)
・署名無し ⇒ デフォルトでブロック(多くのユーザーがダウンロードした実績があるexeとハッシュ値が一致する場合のみ許可)
つまり、自分で作ったexeファイルを公開したら、署名付けない限り問答無用で危険なアプリの可能性があるというセキュリティ警告が出る状態になる
コードサイニング署名つけたところで、1~2年ごとの証明書更新で信頼スコアがリセットされるので証明書の更新からしばらくはセキュリティ警告が出る
コードのスキャンではなく、証明書のスキャンに依存している時点でセキュリティソフトとして失格だわ
それで検出率99%とかアフォちゃうんか?
誤検出率も書くべき(署名無しならある程度の人数が使わない限り100%誤検出なので、公開直後のexeファイルの誤検出率は100%です)
Re:署名無し exe ファイルの誤検出率は、公開直後は 100% (スコア:1)
EV署名のない実行ファイルをデフォルトでブロックするのは普通の動作に見える。
当然知っていると思うけど、EVでないコード署名はプログラムの信用を担保しない。ただ改竄されていないことを証明するだけだ。
例えば、フィッシングサイトが公開するマルウェアにEVでないコード署名がついていたところで、なんの保証にもならない。
身元を証明したいのならEV署名は必要だ。
昔ながらの開発者として気に入らないのはわかるけど、これが不当に思えるのはちょっと時代遅れというしかない。
また、根本的な誤解として、SmartScreenはウイルススキャナではない。
SmartScreenはドメインやURLの信頼性を評価するもので、フィッシングサイトなどを遮断するのが目的だ。
その性能が高くて、特に新たに登場したフィッシングサイトへの対応がきわめて速いとされている。
Re:署名無し exe ファイルの誤検出率は、公開直後は 100% (スコア:2, 参考になる)
当然知っていると思うけど、EVでないコード署名はプログラムの信用を担保しない。ただ改竄されていないことを証明するだけだ。
例えば、フィッシングサイトが公開するマルウェアにEVでないコード署名がついていたところで、なんの保証にもならない。
身元を証明したいのならEV署名は必要だ。
SSL/TLSに使うX.509 証明書かなんかと勘違いしているように思える。
CA/Browser ForumのBaseline Requirementsではコードサイニング証明書にはVerification of Organizational Applicantsが必須だと書かれている。
11.Verification Practices から引用すると
のいずれかが必須。
実際の運用としては、大抵の認証局はEVでもEVでなくてもコードサイニング証明書は同じような審査をする(EVでなくてもコールバック確認や書類審査をする)のでなりすましリスクについては大きな違いがあるとはいえない)。EVの方が値段が高いので認証局の儲けが大きいという違うはあるね。
EVと非EVの大きな違いは、EVの方は個人事業主を含む個人だと取得できないことぐらいかな。でも、死ぬまで逃亡できない個人と、いくらでもペーパーカンパニー作り放題の法人で、後者の方が信頼できるというのは違うと思う。
民事の賠償責任や法人格としての刑事責任も法人は会社つぶせば逃れられるけど、個人の自己破産免責は簡単には認められない。
Re: (スコア:0)
本当に検出率が高いのか疑問だ。怪しげな詐欺サイトが表示されたことはあるが、SmartScreenの赤い画面を見たことがない。
Re: (スコア:0)
また、根本的な誤解として、SmartScreenはウイルススキャナではない。
SmartScreenはドメインやURLの信頼性を評価するもので、フィッシングサイトなどを遮断するのが目的だ。
その性能が高くて、特に新たに登場したフィッシングサイトへの対応がきわめて速いとされている。
SmartScreenがアンチウイルスかどうかは考え方次第では?
https://hebikuzure.wordpre [wordpress.com]
Re: (スコア:0)
仮に「プログラムの信用を担保する」のなら、それで問題が起きた時は証明書を発行した機関や実行を許可したOSメーカーは責任とってくれるの?
連帯保証人のハンコついたわけじゃないのに、信用を担保するなんてことはないでしょ。
Re:署名無し exe ファイルの誤検出率は、公開直後は 100% (スコア:1)
インテルのHPから新しいグラフィックドライバをダウンロードすると、これに引っ掛かってイライラさせられる。
Re: (スコア:0)
これは別にWindows Defenderに限らずNorton等でも起きる問題かと思います。
しかもNortonの場合は隔離されるのでいちいち除外・復元する必要があったり。
# 自分でビルドしたexeですらブロックされたのでAC
Re: (スコア:0)
Norton も新しいexeは原則誤検出ですね
カスペルスキーはそういう挙動無いのでまともですよ
Re: (スコア:0)
こういうのがフリーソフト文化を破壊するんだよね
作者にウイルスだと表示されたのなんだのと冤罪メールばっかきて迷惑
『少しでもアヤシイファイルは全部「警告」扱いにする』のが問題なんだよ
さっさとストアアプリに移行すればいいだけの話でしょ
Re: (スコア:0)
さっさとストアアプリに移行すればいいだけの話でしょ
特定の巨大営利企業が支配しているストアにアプリを預けるのは、古き良きフリーソフト文化とは相反する。
Re: (スコア:0)
でも漫画村やウイルスやアドウェア入りのアプリを含めてフリーでオープンなのを支持したいというのが出てくるからなぁ。
Re: (スコア:0)
特定の巨大営利企業が支配しているPC向けにアプリをリリースするのは、古き良きフリーソフト文化とは相反する。
Re: (スコア:0)
ストアが嫌ならChocolateyとかで公開すれば?
ブラウザを使わずにダウンロード・インストールできればブラウザのセキュリティ機能は無力なんだから
Re: (スコア:0)
まだ、業務でお使いのPCでWindows7が高いシェアを保っているので、まだ移行できないです。
あと2年耐えなくては...。
Re: (スコア:0)
「ダウンロード及び実行の実績が少ないソフトウェアです」
「ダウンロード及び実行の実績が少ないソフトウェアですが、署名はあります」
って正直に書いてくれればいいのにな。
ていうかそんなやり方だと大量にダウンロードさせることに成功したマルウェアには警告でないっていう凶悪なオチ